Nemko x Deloitte 攜手建置網路資訊安全網絡

三關鍵提升投資人信心 強化企業競爭力

1. 接軌國際標準、2. 加速安全開發整合、3. 掌握產品生命週期資安風險

掌握威脅情資與國際資安趨勢脈動，最大化安全開發效益

勤業眾信聯合會計師事務所風險諮詢服務執行副總經理簡宏偉表示，企業在設計並推出物聯網設備時，是否有將資訊安全需求納入開發規畫，避免相關設備成為駭客入侵企業網路的入口，將成為企業未來所必須正視的課題。面對快速更新的駭客攻擊手法，企業在積極著手將安全開發系統化地融入產品開發週期時，持續接收最新的威脅情資與國際資安趨勢也是重要一環，以確保產品的網路資安能跟上市場要求，讓安全開發所帶來的實質效益可達最大化。

選擇合適國際資安標準進行認證，展示企業資安強化決心

勤業眾信聯合會計師事務所風險諮詢服務資深經理王晨芳表示，在現今萬物聯網與高度數位化的時代，企業往往需要處理比過去更龐雜的內外部資訊，政府與大眾對於資安與個資保護的要求也不斷升高，因此，站在法令遵循或是企業經營的角度，網路資訊安全的管理與保護都已成為企業應儘快著手的要務，以避免在資安攻擊發生時措手不及，造成更嚴重的損失。

企業可依據其產品/應用類別、在供應鏈中所扮演的角色等面向選擇適用的國際資安標準，作為實施資安風險管理的指引，協助企業掌握資安風險，同時，展示企業對資安強化的決心。舉例來說，消費性物聯網設備可參考由歐洲電信標準化協會（ETSI）所發布的ETSI EN 303 645「消費性物聯網設備的網路安全」標準，無線設備可參考由歐盟委員會（EC）所發布的「無線電設備指令（RED）」，而工控系統則是可參考目前在國際上被廣泛採納和認可的工控系統網路安全標準ISA/IEC 62443。

值得一提的是，ISA/IEC 62443的4-1條文制定了產品開發生命週期的安全要求，透過達成這些安全要求，可協助產品在整個生命週期中的安全性符合預期風險。

勤業眾信具備豐富的IEC 62443輔導能力及物聯網設備檢測能力，實績案例包括網路通訊設備、網路攝影機、行動裝置、醫療器材等設備，可協助企業進行全方位的產品安全開發輔導、安全制度導入以及物聯網設備安全檢測等服務。

因應歐盟無線電設備指令新要求，廠商該如何因應網路安全升級？

Nemko聯廣驗證資深經理路龍輝表示，歐盟委員會（EC）於2021年10月29日宣布採用「無線電設備指令（RED）」的委託法規以對特定無線設備類別新增網路安全要求（見第3.3條的d、e、f項），藉此強化網路安全、個資保護與隱私，其中類別包括可透過網際網路溝通的裝置、玩具與孩童照護（Childcare）設備、及穿戴裝置，可見涵蓋了多數的物聯網與無線裝置。這項委託法規將於2024年8月1日生效，屆時在歐盟市場所銷售符合上述類別的無線設備，都須符合新的網路安全要求。雖然新措施尚未落地，但考量到將這些資安要求完整納入既有產品可能不易、以及新產品開發往往需要數月甚至數年的時間，無線產品廠商應及早採取行動，包括採用歐盟委員會所發布符合RED要求的調和標準（Harmonised standards），並將新的網路安全要求確實納入未來產品開發考量 。